H3C交换机安全配置基线.doc

H3C 交换机安全配置基线 第 0 页 共 11 页 H3CH3C 交换机安全配置基线交换机安全配置基线 H3C 交换机安全配置基线 第 1 页 共 11 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2.0创建2012 年 4 月 备注：备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 H3C 交换机安全配置基线 第 2 页 共 11 页 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 1.4实施.1 1.5例外条款.1 第第 2 章章帐号管理、认证授权安全要求帐号管理、认证授权安全要求.2 2.1帐号.2 2.1.1配置默认级别*2 2.2口令.3 2.2.1密码认证登录3 2.2.2设置访问级密码4 2.2.3加密口令4 第第 3 章章日志安全要求日志安全要求.6 3.1日志安全.6 3.1.1配置远程日志服务器6 第第 4 章章IP 协议安全要求协议安全要求 .7 4.1IP 协议7 4.1.1使用SSH加密管理.7 4.1.2系统远程管理服务只允许特定地址访问7 第第 5 章章SNMP 安全要求安全要求9 5.1SNMP 安全.9 5.1.1修改SNMP默认通行字9 5.1.2使用SNMPV2或以上版本.9 5.1.3SNMP访问控制.10 第第 6 章章其他安全要求其他安全要求.12 6.1其他安全配置.12 6.1.1关闭未使用的端口12 6.1.2帐号登录超时12 6.1.3关闭不需要的服务*13 第第 7 章章评审与修订评审与修订.15 H3C 交换机安全配置基线 第 0 页 共 11 页 第第 1 章章概述概述 1.1 目的目的 本文档旨在指导系统管理人员进行 H3C 交换机的安全配置。 1.2 适用范围适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 1.3 适用版本适用版本 H3C 交换机。 1.4 实施实施 1.5 例外条款例外条款 H3C 交换机安全配置基线 第 1 页 共 11 页 第第 2 章章帐号管理、认证授权安全要求帐号管理、认证授权安全要求 2.1 帐号帐号 2.1.1 配置默认级别配置默认级别* 安全基线项安全基线项 目名称目名称 配置默认级别安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-02-01-01 安全基线项安全基线项 说明说明 交换机命令级别共分为访问、监控、系统、管理 4 个级别，分别对应标识 0、1、2、3。配置登录默认级别为访问级（0-VISIT） 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password user privilege level 0 set authentication password cipher xxx 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1 1、 判定条件判定条件 用配置中没有的用户名去登录，结果是不能登录 2 2、 参考检测操作参考检测操作 display current-configuration 3 3、 补充说明补充说明 无。 备注备注 手工检查 H3C 交换机安全配置基线 第 2 页 共 11 页 2.2 口令口令 2.2.1 密码认证登录密码认证登录 安全基线项安全基线项 目名称目名称 密码认证登录安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-02-02-01 安全基线项安全基线项 说明说明 通过控制台和远程终端，需要密码才能登录. 口令长度至少 8 位，并包括数 字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置 相同的口令。密码应至少每 90 天进行更换。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password /或 authentication-mode scheme user privilege level 0 set authentication password cipher xxx 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1 1、 判定条件判定条件 用配置中没有的用户名去登录，结果是不能登录 2 2、 参考检测操作参考检测操作 display current-configuration 3 3、 补充说明补充说明 无。 备注备注 H3C 交换机安全配置基线 第 3 页 共 11 页 2.2.2 设置访问级密码设置访问级密码 安全基线项安全基线项 目名称目名称 设置访问级密码安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-02-02-02 安全基线项安全基线项 说明说明 用户可以无条件切换到比当前低的用户级别，但是当使用 AUX 或 VTY 用户 界面登录，并且从低级别往高级别切换时，需要输入级别切换密码（级别切 换密码可以通过 super password 命令设置） 。如果输入的密码错误或者没 有配置级别切换密码，切换操作失败。因此，在进行切换操作前，请先配置 级别切换密码。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 system-view Sysname super password level 1 cipher password1 Sysname super password level 2 cipher password2 Sysname super password level 3 cipher password3 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1 1、 判定条件判定条件 Sysname display current-configuration 备注备注 2.2.3 加密口令加密口令 安全基线项安全基线项 目名称目名称 加密口令安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-02-02-03 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密后保存于配置文件中。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 user-interface aux 0 8 user privilege level 0 set authentication password cipher xxx H3C 交换机安全配置基线 第 4 页 共 11 页 user-interface vty 0 4 user privilege level 0 set authentication password cipher xxx super password level 1 cipher password1 super password level 2 cipher password2 super password level 3 cipher password3 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 用户的加密口令在 config 文件中显示的密文。 2.2.参考检测操作参考检测操作 display current-configuration 备注备注 H3C 交换机安全配置基线 第 5 页 共 11 页 第第 3 章章日志安全要求日志安全要求 3.1 日志安全日志安全 3.1.1 配置远程日志服务器配置远程日志服务器 安全基线项安全基线项 目名称目名称 配置远程日志服务器安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-03-01-01 安全基线项安全基线项 说明说明 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志 服务器。设备应支持至少一种通用的远程标准日志接口，如 SYSLOG、FTP 等。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 h3c info-center enable h3c info-center loghost xxxxx channel loghost 2 2、补充说明、补充说明 在系统模式下进行操作。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。 2.2.参考检测操作参考检测操作 display current-configuration 3.3.补充说明补充说明 无。 备注备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核 心设备必选，其它根据实际情况启用 H3C 交换机安全配置基线 第 6 页 共 11 页 第第 4 章章IP 协议安全要求协议安全要求 4.1 IP 协议协议 4.1.1 使用使用 SSH 加密管理加密管理 安全基线项安全基线项 目名称目名称 使用 SSH 加密管理安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-04-01-01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密协议， 关闭 TELNET 协议。 检测操作步检测操作步 骤骤 1 1、 参考配置操作参考配置操作 # 设置用户界面 VTY 0 到 VTY 4 支持 SSH 协议。 system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4 protocol inbound ssh 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.参考检测操作参考检测操作 2.2.补充说明补充说明 无。 备注备注 4.1.2 系统远程管理服务只允许特定地址访问系统远程管理服务只允许特定地址访问 安全基线项安全基线项 目名称目名称 系统远程管理服务只允许特定地址访问安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-04-01-02 H3C 交换机安全配置基线 第 7 页 共 11 页 安全基线项安全基线项 说明说明 系统远程管理服务 TELNET、SSH 默认可以接受任何地址的连接，出于安全考 虑，应该只允许特定地址访问。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 Acl number 2000 rule 1 permit source 55 User-interface vty 0 4 acl 2000 inbound 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 通过设定 acl，成功过滤非法的访问。 2.2.参考检测操作参考检测操作 display current-configuration 3.3.补充说明补充说明 无。 备注备注 H3C 交换机安全配置基线 第 8 页 共 11 页 第第 5 章章SNMP 安全安全要求要求 5.1 SNMP 安全安全 5.1.1 修改修改 SNMP 默认通行字默认通行字 安全基线项安全基线项 目名称目名称 修改 SNMP 默认通行字安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-05-01-01 安全基线项安全基线项 说明说明 系统应修改 SNMP 的 Community 默认通行字，通行字应符合口令强度要求。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 snmp-agent community read xxx snmp-agent community write xxxx 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 系统成功修改 SNMP 的 Community 为用户定义口令，非常规 private 或者 public，并且符合口令强度要求。 2.2.参考检测操作参考检测操作 display current-configuration 3.3.补充说明补充说明 无。 备注备注 5.1.2 使用使用 SNMPV2 或以上版本或以上版本 安全基线项安全基线项 目名称目名称 SNMP 版本安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-05-01-02 H3C 交换机安全配置基线 第 9 页 共 11 页 安全基线项安全基线项 说明说明 系统应配置为 SNMPV2 或以上版本。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 snmp-agent sys-info version v3 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 成功使能 snmpv2c、和 v3 版本。 2.2.参考检测操作参考检测操作 display current-configuration 3.3.补充说明补充说明 无。 备注备注 5.1.3 SNMP 访问控制访问控制 安全基线项安全基线项 目名称目名称 SNMP 访问控制安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-05-01-03 安全基线项安全基线项 说明说明 设置 SNMP 访问安全限制，只允许特定主机通过 SNMP 访问网络设备。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 snmp-agent community read XXXX01 acl 2000 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 通过设定 acl 来成功过滤特定的源才能进行访问。 2.2.参考检测操作参考检测操作 display current-configuration 3.3.补充说明补充说明 无。 备注备注 H3C 交换机安全配置基线 第 10 页 共 11 页 H3C 交换机安全配置基线 第 11 页 共 11 页 第第 6 章章其他安全要求其他安全要求 6.1 其他安全配置其他安全配置 6.1.1 关闭未使用的端口关闭未使用的端口 安全基线项安全基线项 目名称目名称 关闭未使用的端口安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-06-01-01 安全基线项安全基线项 说明说明 关闭未使用的端口。 检测操作步检测操作步 骤骤 1 1、参考配置操作、参考配置操作 HW-Ethernet3/0/0shutdown 2 2、补充说明、补充说明 无。 基线符合性基线符合性 判定依据判定依据 1.1.判定条件判定条件 未使用端口状态为 admin down。 2.2.参考检测操作参考检测操作 Display interface 3.3.补充说明补充说明 无。 备注备注 6.1.2 帐号登录超时帐号登录超时 安全基线项安全基线项 目名称目名称 帐号登录超时安全基线要求项 安全基线编安全基线编 号号 SBL-H3CSwitch-06-01-02 安全基线项安全基线项 说明说明 配置定时帐号自动登出，登出后用户需再次登录才能进入系统。设置超时时 间为 5 分钟. H3C 交换机安全配置基线 第 12 页 共 11 页 检测操作